Это протокол, по которому можно получать доступ к базе данных SAM на удаленном компьютере. В случае с доменом — это NTDS, а в случае с обычным компьютером — доступ к локальным учетным записям. Так что, если у вас нет доступа по SMB, но есть необходимые права, можно попробовать прочитать SAM по SAMR. Для удаленного подключения к SAM по этому протоколу можно использовать небольшую утилиту на Python — Samdump.
Подскажите по доступу к локальным УЗ на обычном ПК - это LSA или что-то другое?
Коллеги, для информации, SOC пишется как Security Operations Center (через "s" на конце) - переводится как "Центр кибероперациЙ". Многие SOC-конторы пишут по английски не корректно, в не верном склонении.
При включении на КД "EventID - 1644 LDAP Search" получается огромный журнал, журнал очень быстро заполняется и логи перетираются. Так что этот вариант не самый лучший.
Хай комрадс! А почему бы не юзать 4663 (получен доступ) вместо 4656 (запрошен дескриптор)? Ведь 4656 регается даже когда дескриптор запрошен, но не использован (например, работа Outlook в фоне). И 4656 выдаёт в несколько раз больше событий, чем 4663. В среднем, за месяц в типовой ИТ-структуре у 4656 - 10к событий, а у 4663 - 2к событий. К тому же, UltimateSecurity ссылается, что Microsoft рекомендует юзать 4663.
Книга написана бывшим сотрудником АНБ США. Стив Энсон. Реагирование на компьютерные инциденты. Прикладной курс. Реагирование на компьютерные инциденты https://ftp.zhirov.kz/books/IT/Other/Реагирование на компьютерные инциденты (Стив Энсон).pdf
У Вас опечатка - ICASA (Information Systems Audit and Control Association). Должно быть ISACA
Это протокол, по которому можно получать доступ к базе данных SAM на удаленном компьютере. В случае с доменом — это NTDS, а в случае с обычным компьютером — доступ к локальным учетным записям. Так что, если у вас нет доступа по SMB, но есть необходимые права, можно попробовать прочитать SAM по SAMR. Для удаленного подключения к SAM по этому протоколу можно использовать небольшую утилиту на Python — Samdump.
Подскажите по доступу к локальным УЗ на обычном ПК - это LSA или что-то другое?
Коллеги, для информации, SOC пишется как Security Operations Center (через "s" на конце) - переводится как "Центр кибероперациЙ". Многие SOC-конторы пишут по английски не корректно, в не верном склонении.
Справочная информация:
https://csrc.nist.gov/glossary/term/security_operations_center
https://www.nsa.gov/portals/75/documents/resources/cybersecurity-professionals/top-5-soc-principles.pdf
https://en.wikipedia.org/wiki/Security_operations_center
https://www.offsec.com/courses/soc-200/
При включении на КД "EventID - 1644 LDAP Search" получается огромный журнал, журнал очень быстро заполняется и логи перетираются. Так что этот вариант не самый лучший.
Почему нет ни слова про Purple Team?)
Кто в теме тот поймет. Проходи дальше, если не вкурил
Хай комрадс! А почему бы не юзать 4663 (получен доступ) вместо 4656 (запрошен дескриптор)? Ведь 4656 регается даже когда дескриптор запрошен, но не использован (например, работа Outlook в фоне). И 4656 выдаёт в несколько раз больше событий, чем 4663. В среднем, за месяц в типовой ИТ-структуре у 4656 - 10к событий, а у 4663 - 2к событий. К тому же, UltimateSecurity ссылается, что Microsoft рекомендует юзать 4663.
Ок, гив ми ё вижн ор линк)
Жесть!))